技术说明
更新:Meta于约2026年6月6–7日向缅因州检察长提交了正式数据泄露通知,确认其由AI驱动的高端支持(HTS)Instagram账户恢复聊天机器人被利用在2026年4月17日至5月31日期间破坏了20,225个账户。单独代码路径中的一个漏洞未能验证密码重置请求者提供的电子邮件地址是否与目标账户已关联的电子邮件相匹配。攻击者只需要求Meta的聊天机器人将其电子邮件链接到任何账户,接收有效的重置链接,并在没有2FA的情况下接管账户。该类包括属于奥巴马白宫、丝芙兰和美国太空军人员的高级别账户。
攻击途径
对AI驱动支持聊天机器人的社交工程:攻击者提交密码重置请求,提供攻击者控制的电子邮件地址;HTS工具跳过电子邮件所有权验证步骤,并将有效的重置链接邮寄到攻击者的地址。无需技术漏洞或凭证 — 仅需向聊天机器人发出自然语言请求。
受影响系统
(a)使用了HTS AI辅助账户恢复工作流且(b)未启用双因素身份验证的Meta Instagram账户。确认约20,225个账户受影响。
缓解措施
Meta已禁用HTS,使该期间生成的所有重置链接失效,将受影响的账户纳入强制安全检查点,并强制重置密码。用户应该:(1)立即在所有Meta账户上启用2FA;(2)审查4月17–5月31窗口期间的账户活动日志;(3)审计任何链接的第三方应用。使用Meta AI集成的企业应在重新启用任何AI辅助账户或访问流程之前验证身份验证检查。